[发明专利]对不需要的软件或恶意软件进行分类的系统和方法

权利要求书

1.一种在计算机基础设施内实现的用于识别恶意软件或未授权软件通信的方法，所述方法包括：

检测加密通信；

确定所述加密通信的标识数据；

将所检测的加密通信与以下项中的至少一个相比较：

针对使用所述标识数据的加密通信获得授权的应用的列表；以及

使用所述标识数据的加密通信的授权目的地的列表；

响应于确定以下项中的至少一个，将所检测的加密通信识别为未授权加密通信：

根据所述比较，所检测的加密通信来自不在针对加密通信获得授权的应用的列表中的未授权应用；以及

所检测的加密通信去往不在授权目的地的列表中的未授权目的地。

2.如权利要求1中所述的方法，还包括：阻止所述未授权加密通信。

3.如权利要求1或2中所述的方法，还包括：当符合下列条件时，将所检测的加密通信识别为授权加密通信：

根据所述比较，所检测的加密通信来自在针对加密通信获得授权的应用的列表中的授权应用；以及

根据所述比较，所检测的加密通信去往在加密通信的授权目的地的列表中的授权目的地。

4.如权利要求3中所述的方法，还包括：允许所述授权加密通信。

5.如任一上述权利要求中所述的方法，还包括：接收所述针对加密通信获得授权的应用的列表和所述授权目的地的列表中的至少一个。

6.如任一上述权利要求中所述的方法，还包括：将所述针对加密通信获得授权的应用的列表和所述授权目的地的列表中的至少一个存储在数据库中。

7.如任一上述权利要求中所述的方法，还包括：

确定所检测的加密通信来自受信网络上的应用；以及

将所述应用添加到所述针对加密通信获得授权的应用的列表。

8.如任一上述权利要求中所述的方法，还包括：将所述未授权加密通信与恶意软件部署和未授权软件部署中的至少一个相关联。

9.如任一上述权利要求中所述的方法，其中实时地执行所述检测、比较和识别中的至少一项。

10.如任一上述权利要求中所述的方法，还包括：

将所检测的加密通信被识别为未授权加密通信的信息提供给用户；以及

从所述用户处接收执行以下操作之一的指令：

将发送所检测的加密通信的未授权应用添加到所述针对加密通信获得授权的应用的列表并允许所检测的加密通信；以及

阻止所述未授权加密通信。

11.如任一上述权利要求中所述的方法，其中所述检测加密通信包括：

观察网络上的一个或多个分组；以及

使用一种或多种数学和分析方法将所述网络上的所述一个或多个分组识别为所述加密通信。

12.如任一上述权利要求中所述的方法，其中所述加密通信的所述标识数据包括以下项中的至少一个：

源；

目的地；

源端口号；

目的地端口号；

加密类型；以及

目的地主机。

13.一种用于识别恶意软件或未授权软件通信的计算机系统，所述系统包括：

第一程序指令，用于检测加密通信；

第二程序指令，用于确定所述加密通信的标识数据；

第三程序指令，用于将所述加密通信与针对加密通信获得授权的应用的列表和使用所述标识数据的加密通信的授权目的地的列表中的至少一个相比较；

第四程序指令，用于响应于确定以下项中的至少一个，将所述加密通信识别为未授权加密通信：

根据将所述加密通信与所述针对加密通信获得授权的应用的列表的比较，所述加密通信来自不在所述针对加密通信获得授权的应用的列表中的未授权应用；以及

根据将所述加密通信与所述加密通信的授权目的地的列表的比较，所述加密通信去往不在所述加密通信的授权目的地的列表中的未授权目的地。

14.如权利要求13中所述的系统，还包括：第五程序指令，用于阻止所述未授权加密通信。